Scribd Logo
Hochladen

Willkommen bei Scribd!

  • S14 - Proteccion de Activos de Informacion 1

    Hochgeladen von

    Carlos Llantoy
    29 Ansichten40 Seiten
    seguridad ing valdivia

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    seguridad ing valdivia

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    29 Ansichten40 Seiten

    S14 - Proteccion de Activos de Informacion 1

    Hochgeladen von

    Carlos Llantoy
    seguridad ing valdivia

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 40

    Proteccin de Activos

    Martin Valdivia
    CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS

    O bjetivo

    Asegurar que el alumno tenga el conocimiento


    para evaluar la seguridad lgica, ambiental y de
    la infraestructura de TI para determinar si la
    seguridad implantada satisface los
    requerimientos de negocio de la empresa para
    la salvaguarda de los activos de informacin

    Clase Anterior
    Operacines
    Infraestructura
    Auditoria de Operaciones e Infraestructura

    Importancia de la
    Administracin de la
    Seguridad de la
    Informacin
    Exposiciones
    y
    Controles sobre el
    Acceso Lgico

    Exposiciones
    Controles
    Ambientales

    Exposiciones
    y
    Controles sobre el
    Acceso Fsico
    Auditoria
    a
    Seguridad de
    Informacin

    la
    la

    Qu es la Seguridad?
    La situacin estado de algo, que se
    adquiere al estar libre de riesgo o peligro.

    Seg. de la Informacin y Seg. Informtica


    Seg. de la
    Informacin

    Seg. Informtica

    Objetivos de Seguridad de la Informacin


    Confidencialidad

    Integridad

    Disponibilidad

    Confidencialidad
    La informacin es accedida

    slo por las personas


    autorizadas.

    Integridad

    Exactitud y totalidad de la informacin.

    DISPONIBILIDAD
    Acceso a la
    informacin cuando se
    necesita.

    Funcionalidad vs. Proteccin

    Factores crticos de xito

    Compromiso de la Alta Gerencia


    Polticas, Normas y Procedimientos
    Organizacin
    Educacin
    Monitoreo
    Manejo de Incidentes

    Roles y responsabilidades

    Comit directivo de seguridad de SI


    Gerencia Ejecutiva
    Grupo asesor de seguridad
    Director de Privacidad (Chief privacy officer - CPO)
    Director de Seguridad (Chief security officer - CSO)
    Dueos de procesos
    Propietarios de los activos de informacin y de los
    datos
    Usuarios
    Terceras partes (External parties)
    Especialistas / Asesores en seguridad
    Desarrolladores de SI
    Auditores de SI

    Inventario de activos de informacin

    Clara identificacin de los activos


    Localizacin
    Clasificacin de seguridad / riesgo
    Grupo de activos
    Propietario

    Clasificacin de los datos


    Es una medida de control que define:
    Quin tiene derechos de acceso
    Quin es responsable de determinar los
    derechos y niveles de acceso
    Cules son las aprobaciones necesarias
    para el acceso

    Acceso Lgico
    Los controles de acceso lgico son el primer
    medio usado para administrar y proteger los
    activos de informacin.

    Defensa contra
    Hackers / Crackers
    Empleados (autorizados o no)
    Antiguos empleados
    Terceros interesados
    Personal temporal o Part-time
    Proveedores y consultores
    Ignorante por accidente

    Exposiciones de acceso lgico


    Caballos de troya
    Redondeo para abajo
    Tcnicas del salami
    Virus
    Gusanos

    Bombas lgicas
    Puertas falsas
    Denegacin
    servicio
    Piggybacking

    de

    Acceso
    Flujo de
    informacin
    entre un
    sujeto y un
    objeto.

    Criterios de Acceso
    Logicamente o fisicamente.
    En base a la Necesidad-de-saber.
    Cuatro niveles de seguridad (redes,
    plataformas, bases de datos y aplicaciones).
    Revisiones de autorizacin de acceso.

    Fases de Control
    de Acceso
    Autorizacin
    Autenticacin
    Identificacin

    Identificacin Login ID

    Autenticacin

    Que es lo que
    soy ?
    Que es lo que
    tengo ?

    Que es lo que se
    ?

    Contraseas

    Contraseas

    Tokens

    Autorizacin

    Control de acceso lgico


    Identificacin y autenticacin
    Restriccin de logon IDs a terminales y horarios
    especficos
    Establecer reglas de acceso para los recursos de
    informacin especficos
    Crear responsabilidades y auditabilidad individual
    Crear o modificar perfiles de usuario
    Registrar los eventos en bitcora
    Capacidades de reporte

    Tipos

    Criptografa simtrica

    Criptografa simtrica
    Una misma llave encripta
    y desencripta.
    Algoritmos
    DES llave de 56 bits
    3DES 3 llaves de 56
    bits
    AES llave de 128, 192,
    256 bits
    IDEA
    Blowfish
    RC5

    Criptografa simtrica

    Encripcin

    0x0088840517080E4FA2

    1234-5678-1234-5678
    Desencripcin

    Criptografa Asimtrica (Clave Pblica)

    Criptografa
    Asimtrica

    Criptografa
    Asimtrica
    Usa 2 llaves:
    Privada y
    Pblica
    Algoritmos
    RSA (Rivest,
    Shamir,
    Adleman)
    El Gamal
    Curva Eliptica

    Criptografa Asimtrica
    Encripcin con llave pblica

    1234-5678-1234-5678

    0x0088840517080E4FA2

    Llave privada

    Llave pblica
    Desencripcin con llave
    privada

    Funciones
    Hash

    Funciones
    Hash
    Algoritmo de
    una sola va
    Algoritmo
    altamente
    sensible
    Algoritmos:
    MD5, SHA-II

    Aplicaciones
    Secure sockets layer (SSL)
    Secure Hipertext Transfer Protocol (S/HTTP)
    IP security
    SSH
    Secure multipurpose Internet mail extensions
    (S/MIME)
    Secure Electronic Transactions (SET)
    3D Secure

    Das könnte Ihnen auch gefallen